WordPress Eklentisindeki Güvenlik Açığı 4 Milyon Siteyi Tehdit Ediyor

WordPress güvenlik firması Wordfence, CVE-2024-10924 olarak takip edilen kusuru “12 yıllık geçmişimizde bildirdiğimiz en ciddi güvenlik açıklarından biri” olarak nitelendirdi.

Kritik kimlik doğrulama atlama güvenlik açığı, 4 milyondan fazla web sitesinde aktif olan Gerçekten Basit Güvenlik eklentisindeki artık yamalanmış bir kusurdan yararlanıyor. WordPress.org Perşembe günü zorunlu güncellemelere başladı. Wordfence araştırmacıları, “Kullanıcılardan, sitelerinin Gerçekten Basit Güvenlik’in en son yamalı sürümü olan 9.1.2 sürümüne güncellendiğini doğrulamasını istiyoruz” diye yazdı. Bu kusur ücretsiz, Pro ve Pro Multisite sürümlerini etkiliyor.

Kusur, sistemlerin web üzerinden iletişim kurması için bir protokol olan REST API aracılığıyla iki faktörlü kimlik doğrulama işlemleri sırasında kullanıcı doğrulamasının hatalı işlenmesinden kaynaklanıyor. Yalnızca oturum açma için iki faktörlü kimlik doğrulamayı etkinleştiren eklentiler bu kusurdan etkileniyor ve ayar varsayılan olarak devre dışı. Gerçekten Basit Güvenlik, web sitesi sertifikalarını yönetme, güvenlik açığı tespiti, oturum açma koruması ve WordPress güçlendirme için işlevler içerir.

Özellikle hata, iki faktörlü kimlik doğrulama hatası durumunda eklentinin nasıl bir hata mesajı döndürdüğüyle ilgilidir. Yamadan önce eklenti, işlev içindeki hata mesajını ele almıyordu; bu, geçersiz bir yanıt durumunda bile bilgisayar korsanının oturum açmaya devam edebileceği anlamına geliyordu. “Geçersiz bir nonce durumunda bile, işlev işleme devam eder ve authenticate_and_redirect()Wordfence, “Bu, kullanıcının kimliği doğrulanmamış olsa bile, istekte iletilen kullanıcı kimliğine göre kullanıcının kimliğini doğrulayan” diye yazdı.

WordFence araştırmacıları bu güvenlik açığını 6 Kasım’da geliştirici ekibine açıkladı. On puanlık CVSS ölçeğinde 9,8 puana sahip olan falw, komut dosyasıyla yazılabilir, yani “büyük ölçekli otomatik bir saldırıya dönüştürülebileceği anlamına geliyor.”